LGPD e a escola

Questões principais na aplicação da LGPD nas instituições de ensino

Se você ainda não sabe o que é a LGPD, recomendo a leitura imediata do artigo introdutório ao tema, antes da leitura deste e para isso segue o link abaixo :

https://www.linkedin.com/pulse/lgpd-voc%C3%AA-j%C3%A1-deveria-saber-que-lei-%C3%A9-essa-walter-duque/?published=t

LGPD/GDPR e a proteção da informação

A LGPD vem para dar maior segurança às pessoas, em um cenário no qual é cada vez mais valorizada a informação, mais especificamente a informação pessoal, também chamada dados pessoais.

Os dados pessoais são como a própria lei conceitua no art.5º, I a "Informação relacionada a pessoa natural identificada ou identificável", ou seja, sua foto, números de CPF e identidade, impressão digital, informações de saúde, etnia, preferências religiosas, opção sexual, etc

Várias empresas hoje desenvolvem suas atividades com base em estatísticas geradas pela análise do comportamento do usuário na internet, se utilizando dos dados coletados em redes sociais, aplicativos e nas preferências de navegação.

Como exemplo falemos do cookie, cujo pedido de confirmação quase sempre nos é apresentado em sites visitados.

O cookie é um arquivo, que após o seu aceite, passa a armazenarinformações como tempo de conexão, links selecionados, pesquisas realizadas etc e em seguida as compartilha com o proprietário do site, para que ele as utilize de alguma maneira.

Quando acessamos algum site na internet e aceitamos a instalação de um cookie estamos consentindo com o monitoramento de nossas ações naquele portal.

Além da atividade no site, outras informações do usuários já estão registradas quando há um acesso a qualquer portal pela internet. O usuário que está conectado em sua residência por exemplo, está vinculado a um IP (Internet Protocol), que é um número atribuído ao seu computador na grande rede e que por sua vez está vinculado ao seu cadastro em um provedor de acesso (operadora de telefonia, serviço de internet, etc).

Se o usuário está em um site no qual foi exigido o login, a situação é ainda mais preocupante, pois além das informações de acesso, provavelmente o usuários também forneceu outras informações mais detalhadas, como nome, endereço, CEP, telefone, etc.. Ou seja, estamos identificados ou somos identificáveis, a depender da reunião das informações compartilhadas entre as empresas que participam de toda essa atividade.

A internet, que surgiu como um espaço livre, supostamente sem controle, mudou muito. Hoje o que se tem é exatamente o oposto e o controle do fluxo de dados é exatamente o que gera renda, por isso esse controle está cada vez mais sofisticado e em busca de mais informações.

Como muito bem explica o sociólogo Sérgio Amadeu da Silveira, em seu excelente livro "Tudo sobre t@odos", na sociedade articulada pelas redes sociais, a matéria prima para a produção de uma ciência de indução do comportamento social são os dados pessoais, que servem à elaboração de perfis dos usuários.

Estamos expostos à uma vigilância constante, que se torna quase onipresente dada a frequência com que utilizamos nossos celulares, computadores televisões e muito em breve, até a geladeira (mas essa é uma conversa para depois, em que tratarei do IoT ou Internet das Coisas). Essa vigilância serve para absorver todo tipo de informação sobre nós e viabilizar a construção de um perfil (atividade conhecida como profiling).

Criado nosso perfil e com as informações disponíveis, somos bombardeados com ofertas, propagandas e sujeitos à avaliações as quais sequer percebemos que acontecem.

Também com base em todos esses dados coletados nosso comportamento vai, aos poucos, sendo modulado, induzido, limitado segundo os interesses daqueles que controlam as plataformas que utilizamos (Facebook, Google, WhatsApp, Instagram).

Existem excelentes estudos e livros tratando do tema da indução do comportamento, dentre os quais posso citar, além dos escritos pelo Sociólogo Sérgio Amadeu da Silveira, o "Filtro Invisível" de Eli Pariser . Quem deseja se aprofundar no tema pode iniciar por aí a leitura.

Dito isto, já é possível mesmo para quem está agora tendo o primeiro contato como tema entender o cenário em que vivemos e o controle ao qual nos submetemos sem perceber. Por essa compreensão já é possível concluir qual é a importância de se criar mecanismos de proteção aos dados, especialmente aos dados pessoais.

Na CEE (Comunidade Econômica Européia) a preocupação com esta proteção já é antiga, tendo surgido a primeira legislação unificada em 1995, qual seja, a Diretiva 95/46/EC, que mais tarde deu origem à GDPR (General Data Protection Regulation - EU 2016/679), regulamento este que já produz efeitos desde 25/05/2018.

Diante de tantos riscos e da fragilidade do titular de dados, a regra hoje é que é proibido tratar dados pessoais, mas se for preciso fazê-lo (invariavelmente é em sociedade), então há que se atender às determinações legais e princípios estabelecidos.

As exigências de adequação e proteção são internacionais. A GDPR dispõe que empresas participantes da Comunidade Econômica Européia só podem compartilhar dados pessoais com empresas em países que atendam aos critérios de adequação da Lei. Esta não é a única razão, mas também por isso há um movimento mundial para a criação de leis sobre a proteção de dados.

Há inclusive um site que mostra o mapa desta adequação, link abaixo :

https://www.dlapiperdataprotection.com/

O Brasil também está em busca de sua adequação neste momento de grande inovações e para isso promulgou a Lei 13.709/18 ou Lei Geral de Proteção de Dados - LGPD, que passará a produzir efeitos em agosto deste ano (2020).

A nossa lei traz as chamadas bases legais para o tratamento de dados que são :

  1. Consentimento;
  2. Cumprimento de obrigação legal ou regulatória;
  3. Execução de políticas públicas;
  4. Realização de estudo por órgãos de pesquisa;
  5. Execução de contrato;
  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. Proteção da vida ou incolumidade física do titular ou de terceiro;
  8. Para a tutela da saúde;
  9. Por interesse legítimo do controlador ou terceiro (o conceito de interesse legítimo demanda uma análise complexa);
  10. Para a proteção do crédito;

E alguns princípios aplicáveis :

Finalidade - o tratamento de dados deve obedecer finalidade específica, não é possível mais tratar (colher, armazenar, compartilhar, etc.) dados com fins genéricos, não explícitos e não informados; Ou seja, se no cadastro de seu paciente existem informações irrelevantes para o atendimento médico, elas não devem ser mantidas.

Adequação - deriva do princípio anterior, os dados tratados devem ser compatíveis com a finalidade informada ao titular. Ex. Não se justifica a coleta de uma foto do paciente pelo médico que tratará de um problema pulmonar e na hipótese de haver justificativa, ela deve ser informada ao paciente.

Minimização - apenas os dados estritamente necessários devem ser tratados;

Livre acesso - ao titular de dados deve ser garantido o acesso a todas as informações sobre os dados tratados tratamentos realizados.

As instituições de Ensino

No caso das instituições de Ensino, são muitos os cuidados que devem ser adotados, de modo que não será possível aqui exaurir a discussão, mas farei uma exposição daqueles, que a meu ver, são os pontos iniciais para reflexão.

A LGPD dispõe no art.14 sobre o tratamento de dados de crianças e adolescentes, in verbis:

"Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança."

Primeiramente cabe conceituar criança e adolescente e para isso é preciso fazer referência ao ECA (Estatuto da Criança e do Adolescente - Lei 8.069/90, que no art.2º as conceitua :

"Art. 2º Considera-se criança, para os efeitos desta Lei, a pessoa até doze anos de idade incompletos, e adolescente aquela entre doze e dezoito anos de idade."

Portanto :

- criança é a pessoa que tem idade entre 0 e 11 anos;

- adolescente pessoa com idade entre 12 e 18.

Nos termos do art.14 da LGPD, o tratamento de dados da criança depende de consentimento específico e em destaque por pelo menos um dos pais ou pelo responsável legal.

Isto quer dizer que já na abertura de um cadastro de candidatos ao ingresso na escola, muitos cuidados devem ser tomados.

Será necessário já nesse momento :

  • Obter o consentimento do responsável para a coleta das informações da criança;
  • Definir exatamente quais os dados necessários para aquele procedimento de análise e se nenhum outro dado (desnecessário) está sendo coletado;
  • Descrever para o responsável a exata finalidade da coleta dos dados;
  • Especificar o tempo de manutenção dos dados até sua eliminação;
  • Possuir um sistema de registros (logs) que permita manter um histórico do tratamento, desde a coleta até a eliminação;
  • Disponibilizar um sistema que garanta o acesso, retificação, cancelamento e objeção ao tratamento dos dados coletados;
  • Criar um canal de comunicação para que os responsáveis possam requerer quaisquer providências em relação aos dados pessoais mantidos pela escola, tais como pedido de retificação, pedido de eliminação, pedido de acesso;

Outro ponto importante é que o tratamento deve ser orientado pelo melhor interesse da criança ou adolescente e "melhor interesse do menor" é um conceito jurídico, que deve ser de conhecimento da escola, também chamada de "controlador" pela LGPD.

O melhor interesse do menor faz parte da doutrina da proteção integral lastreado pelo disposto no art.227, caput da Constituição Federal e art.1º do ECA :

"CF - Art. 227
É dever da família, da sociedade e do Estado assegurar à criança, ao adolescente e ao jovem, com absoluta prioridade, o direito à vida, à saúde, à alimentação, à educação, ao lazer, à profissionalização, à cultura, à dignidade, ao respeito, à liberdade e à convivência familiar e comunitária, além de colocá-los a salvo de toda forma de negligência, discriminação, exploração, violência, crueldade e opressão."
"ECA - Art.1º
Art. 1º Esta Lei dispõe sobre a proteção integral à criança e ao adolescente."

Portanto, há balizas legais para definir de que forma o tratamento de dados pessoais de crianças e adolescentes pode ser realizado, parâmetros que dependem não apenas do entendimento do cidadão comum, mas da interpretação jurisprudencial sobre o tema.

Isso significa que seja qual for o tratamento dado à informação coletada, deve haver uma análise prévia e uma orientação por profissional especializado, para que a escola se previna de futuras demandas.

Cabe nesse ponto destacar que as sanções previstas na LGPD são graves, vão desde o bloqueio do tratamento de dados, até o pagamento de multa de 2% sobre o faturamento (art.52) :

"Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - (VETADO);
XI - (VETADO);
XII - (VETADO).
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019)
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019)
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados."

O parágrafo 1º do mesmo artigo ainda dispõe que as sanções serão aplicadas de forma gradativa, considerando para sua redução, a "a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados".

Algumas mudanças já estão em andamento e uma delas se vê no PROCON de São Paulo, que em seus sistemas já criou o formulário de reclamações relativas à proteção de dados, vide tela abaixo:

Note-se que aqui está a importância de se fazer o "dever de casa" (perdão pelo trocadilho).

Uma escola que implementou um programa de gestão de proteção de dados terá mais chances de defesa em qualquer processo administrativo ou judicial.

A partir de agosto deste ano, as escolas, assim como qualquer empresa que realize tratamento de dados, estará sujeita ao controle pela ANPD (Autoridade Nacional de Proteção de Dados), em um procedimento administrativo e também estará sujeita à demandas judiciais, sejam elas individuais ou coletivas.

A conscientização do titular de dados, ou dos responsáveis, sobre a importância e necessidade de proteção acontecerá naturalmente, por força da divulgação na mídia e das crescentes discussões sobre o tema.

É o início de uma nova era em termos de direitos pessoais, um momento no qual as pessoas se darão conta da exposição à qual estão submetidas e passarão a ter instrumentos legais para sua proteção.

Se analisado sob o aspecto protetivo, o momento equivale ao surgimento do Código de Defesa do Consumidor e a consequência natural será a busca crescente pela defesa desses "novos direitos".

Apesar dos riscos e obrigações, o momento também é de oportunidade. Aquele que conseguir ser melhor na operação da escola e implementar um programa de conformidade adequado se destacará no mercado, assumindo a liderança para um público cada vez mais consciente e exigente.

Como dito antes, não há pretensão de esgotar o tema neste artigo, seu objetivo é de contribuir para a discussão da questão, trazendo à luz um pouco da realidade que se apresentará já no segundo semestre deste ano.



A AWD Advogados Associados possui uma equipe de advogados e parceiros da área de tecnologia para implementação de programas de conformidade com a LGPD e GDPR, elaborando Sistemas de Gestão de Proteção de Dados para pequenas, médias e grandes empresas, bem como para profissionais da área médica.

Nossa equipe é composta por advogados e profissionais de TI com certificação em:

LGPD - Lei Geral de Proteção de Dados - Opice Blum Academy

GDPR - General Data Protection Regulation do EEE (Espaço Econômico Europeu);

  • Exin Privacy & Data Protection Practitioner
  • Exin Privacy & Data Protection Foundation

ISO 27.001 (Sistema de Gestão da Segurança da Informação)

  • Exin Information Security Management Foundation ISO/IEC 270001

Autor :

Walter B. Duque - Advogado, sócio na AWD (www.awdconsultoria.com.br), com formação multidisciplicar pela EMERJ - Escola da Magistratura do Estado do Rio de Janeiro, especialista em direito digital, com certificação pela Opice Blum Academy em LGPD, Exin Privacy & Data Protection Practitioner, Exin Privacy & Data Protection Foundation, Exin Information Security Management Foundation ISO/IEC 270001 pela AdaptNow. 

Perfil Linkedin : linkedin.com/in/walter-duque-010061b7